pulsa-logo

Hebat! Pelajar Ini Temukan Kerentanan Google, Dapat Hadiah Lagi


dian iskandar

Jum'at, 11 Agustus 2017 • 13:33

hacker,peretas,pelajar IT,jago IT,hadiah,Google


ilustrasiilustrasi

Google membuat semacam program  berhadiah sejumlah uang kepada orang-orang yang menemukan kerentanan atau kekurangan dalam produk dan layanan Google.  Hal ini perlu dilakukan oleh Google, guna menyempurnakan layanan dan fitur Google. Salah satu temuan kerentanan terbaru ditemukan oleh seorang anak sekolah setara SMA (Sekolah Menegah Atas) di Uruguay bernama Ezequiel Pereira, yang berhasil mendapatkan hadiah dari Google senilai USD$ 10.000 (setara dengan Rp. 133 jutaan).

Peneliti keamanan, baik profesional maupun amatir, telah berhasil menemukan sejumlah kerentanan dan bug dalam program dan layanan Google selama bertahun-tahun. Google  menerbitkan sebuah laporan setiap saat dan kemudian mengumumkan  berapa banyak uang yang telah dibayarkan, serta  produk atau layanan apa yang ditemukan bug dan tingkat keparahan bug.

Program ini sangat membantu dalam membantu Google menemukan dan melakukan squash bug tingkat tinggi. Sekaligus mencegah pihak-pihak yang tak bertanggung jawab  untuk mendapatkan informasi rahasia danmendapatkan informasi rahasia tentang Google, mitranya, atau bahkan pengguna layanannya.

Ezequiel Pereira berhasil menemukan bug sederhana namun sangat berbahaya danberpotensi menghancurkan layanan Google karenaorang luar masuk ke intranet internalnya. Peretasan ini padadasarnya terdiri dari perubahan di sekitar header host untuk kumpulan URL tertentu dan hanya mencoba domain yang berbeda sampai ditemukan  kombinasi yang tepat sehingga membiarkan penyerang masuk tanpa kesalahan atau cek keamanan apa pun.

Dengan menggunakan alat penguji penetrasi yang disebut Burp, Ezequiel Pereira  berhasil menemukan  kombinasi itu dan masuk ke "yaqs.googleplex.com", sebuah situs di dalam intranet internal Google yang kebetulan terhubung ke internet, dan memposisikan layanan Google menjadi rentan dan  tidak aman. Pereira dapat melewati berbagai URL dengan cepat, dan mencobanya dari deklarasi hostname yang berbeda. Tidak ada eksploitasi nyata yang digunakan disini.Pereira hanya mengatakan bahwa dia mengakses situs tersebut dari dalam Google, dan situs tersebut langsung “mempercayainya”.

Tampaknya ini adalah halaman yang tidak berbahaya yang berisi informasi yang disusun secara kategoris mengenai departemen dan layanan Google. Saat Pereira ada di  sebuah file yang diberi label sebagai  “rahasia”, dia langsung mengajukan laporan ke Google. Google menghubungi Ezequiel Pereira setelah melihat masalah ini secara mendalam, dan telah menemukan bahwa metode yang digunakan Pereira pada akhirnya dapat menyebabkan penyerang bisa masuk ke suatu tempat di intranet Google di mana mereka berpotensi menemukan informasi pribadi pelanggan.

Dan ketika Ezequiel Pereira tahu bahwa Google mengganjarnya dengan hadiah yang begitu besar, dengan jiwa polos anak SMA diabertanya mengapa hadiah  ganjarannya begitu besar? Google  menjawab bahwa kerentanan yang ditemukan oleh Ezequiel Pereira itulah jawabannya. (Nariswari)


Sumber: AndroidHeadlines